Yarbo割草機器人傳出重大安全漏洞,可能遭攻擊者遠端控制,用戶需立即升級新版韌體

來源: iThome | 2026-05-18 URL: https://www.ithome.com.tw/news/175831

摘要

德國資安研究員 Andreas Makris 於 GitHub 發布報告,揭露 Yarbo(中國漢陽科技旗下品牌,主打北美市場)割草機器人韌體存在重大安全漏洞,可遭遠端控制,危及人身安全。

漏洞詳情

CVE編號類型CVSS評分
CVE-2026-7413持久性後門漏洞-
CVE-2026-7414管理員預設憑證漏洞9.8
CVE-2026-7415未授權MQTT存取漏洞9.8
  • 系統寫死root密碼(hardcoded root password)
  • 內建長期開放的遠端維護通道
  • MQTT通訊機制權限控管不足

攻擊者可執行

  • 遠端接管設備
  • 存取攝影機畫面
  • 竊取用戶 Wi-Fi 密碼與 GPS 位置
  • 入侵單一設備後橫向控制整個機器人群組
  • 用戶按下緊急停止後,仍可遠端重啟割草刀片

危險程度

Yarbo 為重達90公斤、配備大型刀具的履帶式重型機具(一般割草機器人僅10-20公斤),失控風險遠高於一般產品。

Yarbo 官方回應

  • 承認漏洞屬實,歸因於 legacy 遠端支援架構
  • 新版韌體已暫停遠端維護通道、重設root密碼、限制後端服務權限
  • 承諾為每台設備導入專屬憑證、建立可稽核的遠端診斷機制、成立安全應變中心、規畫漏洞懸賞計畫

衍生頁面